想象一下,你坐在电脑前,输入用户名,不需要绞尽脑汁地回忆密码,就可以开始工作,这是一件多么惬意的事情。据美国《纽约时报》网站报道,美国国防部高级研究计划局(DARPA)和其他科研团队目前正致力于将这一美好的想象变成现实,让人类彻底对密码说“拜拜”。
通过键盘敲击方式验证身份
DARPA的宗旨是赞助一些“革命性的、高回报的研究”以供军方使用。互联网技术最初就是由DARPA赞助随后变成通用技术的标杆性研究。
DARPA的项目经理理查德·桂多利兹领导的科研团队正在研发一种新技术,该技术仅仅依靠每个人与众不同的行为特征(比如敲击键盘时不同的力度和习惯、方式等)来进行身份认证,他将这项技术称为“认知指纹技术”。他说,有了最新技术,诸如指纹扫描仪或虹膜扫描仪等生物识别设备就可以“下岗”了。
桂多利兹表示,诸如“6tFcVbNh^TfCvBn”这样的密码符合国防部所谓的“强密码”的定义,但“问题在于,它们并不符合人类的习惯,人类天生就很难记住这些字母和数字的随机组合”。
去年11月,DARPA在阿灵顿举办了一场学术研讨会,在会上,桂多利兹发表了题为“超越密码”的讲话。他说,人类一般使用一定的模式来作为密码,使密码很容易管理。在会上,他还展示了5组密码,都是“Jane123”所包含字符简单的排列组合,他表示,所有这些密码都很容易被破解。
他说:“我希望做到的事情是,用户坐在电脑前,确认自己的身份,然后就可以开始工作了。认证工作在后台进行,用户无法看见,因此也不会对用户的工作造成干扰。”
还有别的学术专家也正在尝试其他仅仅通过用户使用计算机的不同行为习惯就可进行身份验证的方法。
卡内基梅隆大学的计算机科学专家罗伊·马克西查阅了与“击键动力学”有关的研究报告,这些研究报告阐述了用户按压在特定键上的时间长短以及从一个键移到另一个键耗费的时间等等。
马克西教授表示,敲击键盘是我们进行过无数次的运动,这并非人们深思熟虑之后做出的动作,而是受到某种身体“马达”的控制,“因此,从生理学上来说,模仿他人的按键动作几乎是不可能完成的任务”。
他还举例说,比如,计算机用户平均按压一个键的时间为100毫秒,假定一名黑客打算模拟一个敲击键盘的速度略快于平均值的人的动作(比如按键时间为90毫秒),“那么,这名欺骗者必须要有意识地将按键时间缩短10毫秒,想象一下,人们随意眨动一下眼睛都需要275毫秒,因此,进行这样的控制似乎并不现实,很容易引起别人的怀疑”。
他还指出,有证据表明,用户的情绪状态会影响敲击键盘的节奏。但是,就像即使一位技术拙劣的演奏家演奏自己熟悉的乐曲人们都能识别出来一样,他认为,软件也能识别出一个人独特的“内心节奏”,即使这种内心节奏受到情绪、困倦或者醉酒等情况的影响,软件依然能够“慧眼识珠”。不过,他也补充说,内心节奏这一概念还没有被实验证实。
美国佩斯大学的计算机学教授查尔斯·塔伯特也进行了一个与敲击键盘生物识别有关的研究,该研究通过观看学生们敲击键盘在线给出测试题答案的方式来验证他们的身份。通过该研究,他领导的实验团队已经研发出了一套软件,能够对每名学生按压键盘的独特模式进行分析,结果表明,其身份验证的准确率高达99.5%。
依靠软件监控“闯入者”
DARPA希望能够研究出一套可快速验证用户身份的系统,而不需要耗时收集与敲击键盘几百下有关的数据。不过,塔伯特表示,不速之客在互联网内部的运动会显示出无法遮掩的异常,而他们研发的软件能够探测到这种异常,从而将闯入者拦截。
哥伦比亚大学的计算机科学专家尔瓦托勒·斯托尔佛也研发出了一套软件,能使用一种简单的方式——在计算机上放置诱骗文件来追踪闯入者的蛛丝马迹。斯托尔佛说:“我们让用户将一个名为信用卡的这种很具诱惑性的文档放置在计算机上。用户当然知道这只是一个诱饵,但是,闯入者会受到引诱打开它,结果一伸手就被抓。”
斯托尔佛教授解释说,当诱骗文件被打开时,系统软件会启动并核查这个人是否已经在计算机上进行了文件搜索,是否满足期望的搜索模式,如果匹配失效,系统会发出警报并要求用户证实其身份。
DARPA要求计算机系统能够持续不断地对用户的行为进行监控,因为现在人们广泛使用的基于密码的系统没有办法“证实最初通过验证的用户是否仍在掌控键盘”。
马克西教授也在进行另外一个行为生物识别用户验证研究:鼠标动力学。他解释道:“每个人使用鼠标的方式都与众不同,诸如你让鼠标在屏幕前移动的速度、移动的路径(直线还是曲线等)以及什么时候出现抖动等都是完全不一样的,因而可以将此作为身份验证的模式。”
科学家们表示,不需要密码的安全系统更符合人类的天性,也让人类容易犯错的大脑得以逃脱密码的桎梏。